g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale Toscana Sud Est - 17 dicembre 2020 [9529527]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF


[doc. web n. 9529527]

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale Toscana Sud Est - 17 dicembre 2020

Registro dei provvedimenti
n. 278 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione dei dati personali e l’attività istruttoria

Nell’ambito dell’attività istruttoria effettuata con riferimento a una segnalazione di un medico di medicina generale sul modello di sanità di iniziativa adottato dall’Azienda USL Toscana Sud Est (di seguito Azienda) e alla luce delle informazioni fornite dalla stessa su richiesta dell’Ufficio (nota del 13.7.2018, prot. n. 21012, riscontro del 24.8.2018), in data 27 novembre 2018 è stato compiuto un accertamento ispettivo presso la predetta Azienda finalizzato a verificare l’osservanza delle norme in materia di protezione dei dati personali, con particolare riferimento ai trattamenti delle categorie particolari di dati effettuati nell’ambito della c.d. “sanità di iniziativa”.

Nel corso del suddetto accertamento ispettivo, è risultato che:

- il modello di approccio assistenziale della c.d. “Sanità di iniziativa”, seguito in tutta la Toscana, si basa sull’anticipazione delle prestazioni a determinate categorie di assistiti, al fine di prevenire eventi morbosi. Tale modello vede la partecipazione di diversi attori del servizio sanitario regionale ed in particolare i medici di medicina generale (MMG) e gli ambulatori delle aziende sanitarie locali (reti cliniche integrate), che operano in qualità di autonomi titolari del trattamento, sotto un coordinamento organizzativo dell’Azienda sanitaria territorialmente competente. Il modello si realizza attraverso l’impulso del MMG, che, nella c.d. “fase di arruolamento”, provvede a selezionare, tra i suoi assistiti, quelli affetti dalle patologie croniche individuate a livello regionale (es. Diabete, scompenso cardiaco) e a offrire loro dei Piani di Assistenza Individuale (PAI), caratterizzati dall’offerta di un calendario di prestazioni strettamente connesso alle patologie sofferte dall’assistito. Qualora il paziente decida di non aderire a tale piano, potrà ugualmente usufruire delle prestazioni offerte dal servizio sanitario regionale, nonché accedere alle campagne di prevenzione;

- il modello di sanità di iniziativa promosso dall’Azienda, ha avuto una diversa articolazione nel tempo. In una prima fase, conclusasi nel 2017, i MMG inviavano all’Azienda solo il numero complessivo dei pazienti arruolati in relazione alle diverse cronicità indicate (es. diabete). L’Azienda, qualora il numero complessivo dei pazienti arruolati si fosse discostato significativamente dalla media regionale (verifica del numero plausibile come prevalenza), provvedeva a effettuare dei controlli a campione, nell’ambito delle funzioni di vigilanza alla stessa attribuite. A partire dal 2018, è stato deciso invece di ampliare il novero di informazioni che i MMG dovevano inviare all’Azienda nell’ambito del modello assistenziale di sanità di iniziativa promosso dalla stessa. A tale fine, l’Azienda ha inviato ai MMG l’elenco aggiornato dei loro assistiti su una tabella Excel (in formato zip con password per apertura del file). Previa acquisizione di uno specifico consenso informato da parte degli interessati (in atti), i MMG hanno provveduto a trasmettere all’Azienda il suddetto elenco, dopo aver riportato, accanto al nome di ciascun assistito, l’eventuale presenza di una o più delle condizioni morbose per le quali si intendeva arruolare lo stesso;

- l’invio di tali dati, da parte dei MMG, era stato considerato quale condizione per il riconoscimento al medico di una quota del finanziamento previsto dagli accordi collettivi (rispetto dei target di prevalenza);

- il fondamento giuridico della comunicazione di categorie particolari di dati personali dai MMG all’Azienda è stato individuato nel consenso dell’interessato e nella scheda n. 7, allegato B) al Regolamento per il trattamento dei dati sensibili e giudiziari della Regione Toscana;

- ai fini del predetto arruolamento, i MMG procedevano, attraverso l’interrogazione del proprio data base, scegliendo i singoli pazienti affetti dalle patologie indicate dall’Azienda. Individuati i pazienti da arruolare, il MMG proponevano ai pazienti, in occasione del primo contatto, o con un richiamo attivo, un piano di assistenza individuale (PAI);

- fino al 2018, il MMG provvedeva a comunicare all’Azienda solo il numero complessivo di PAI attivati e il numero globale delle prestazioni specialistiche che la stessa Azienda avrebbe dovuto successivamente garantire in funzione dei PAI attivati;

- successivamente è stata adottata una nuova procedura che prevedeva, differentemente dal passato, l’invio dei dati nominativi dei pazienti arruolati (e non più del numero complessivo). Secondo tale nuova procedura i MMG provvedevano a salvare la predetta tabella Excel con i dati dei pazienti arruolati su un supporto rimovibile di loro proprietà (pen drive) e a consegnare il suddetto supporto al medico di distretto, che a sua volta salvava il file Excel sul proprio pc e restituiva il supporto rimovibile al medico. Il medico di distretto procedeva poi a inviare il file, via e-mail, al medico di distretto referente per area provinciale. Successivamente, tale medico inoltrava, sempre via e-mail all’Ente di Supporto Tecnico Amministrativo Regionale (ESTAR), i file Excel che aveva ricevuto dai vari medici di distretto, allegandoli, in formato zip con password per l’apertura (messaggio in atti). Non sono state denunciate perdite o furti dei predetti supporti rimovibili utilizzati dai MMG per la comunicazione all’Azienda dei dati dei pazienti arruolati;

- l’ESTAR risulta designata dall’Azienda sanitaria quale responsabile esterno del trattamento nel 2016 (Prot. 0142457 del 03/10/2016 in atti). All’atto degli accertamenti ispettivi, l’Azienda sanitaria, nell’ambito del tavolo regionale privacy a cui partecipano i rappresentanti delle altre aziende sanitarie della Regione Toscana, stava procedendo alla revisione di tale designazione, al fine di conformarla alle nuove disposizioni dettate dal Regolamento;

- l’ESTAR, dopo aver ricevuto i suddetti file Excel dai medici distrettuali referenti per aree provinciali, provvedeva a consolidare tali informazioni e a inserirle in un data warehouse aziendale. L’ESTAR metteva poi a disposizione dell’Azienda un raccoglitore di dati (data mart) relativo allo stato di avanzamento del processo di arruolamento, per patologia e per medico, che consentiva all’Azienda di effettuare il calcolo di prevalenza anzidetto (verifica del numero plausibile come prevalenza);

- al momento dell’inserimento dei dati nel data warehouse da parte di ESTAR, le informazioni acquisite venivano private dei dati direttamente identificativi (nome e cognome) associando, a ciascun assistito arruolato, il codice univoco regionale utilizzato anche per assolvere ai debiti informativi verso la Regione e il Ministero della salute. Le attività di monitoraggio, valutazione gestione e controllo effettuate dalla Azienda sul predetto data warehouse si riferiscono a quelle descritte nella scheda n. 39, allegato B) al Regolamento per il trattamento dei dati sensibili e giudiziari della Regione Toscana. Al predetto data warehouse potevano accedere i dipendenti dell’Azienda a ciò autorizzati, attraverso specifiche credenziali di autenticazione;

- i dati sopra descritti non sono stati trasmessi alla Regione Toscana;

- in merito ai trattamenti sopra descritti, l’Azienda sanitaria non ha provveduto a effettuare una valutazione di impatto ai sensi dell’art. 35 del Regolamento;

- non è stato inoltre definito il tempo di conservazione dei dati raccolti attraverso i suddetti progetti di sanità di iniziativa da parte dei medici e dell’Azienda;

- alla data degli accertamenti ispettivi (27 novembre 2018) non era stato ancora adottato dall’Azienda sanitaria il Registro delle attività di trattamento di cui all’art. 30 del Regolamento, che risultava essere ancora in una versione di lavoro.

Con e-mail del 3 dicembre 2018 l’Azienda sanitaria ha integrato la documentazione acquisita nel corso del predetto accertamento, inviando copia del registro delle attività di trattamento adottato il 30 novembre 2018, ai sensi dell’art. 30 del Regolamento.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 10618 del 27 marzo 2019, ha notificato all’Azienda USL Toscana Sud Est, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto ha rappresentato che:

- non esiste nel nostro ordinamento giuridico una definizione e una disciplina specifica della c.d. “sanità/medicina d’iniziativa”. Ciò malgrado, tale locuzione è presente in numerosi atti di indirizzo e programmazione del Ministero della salute e delle regioni. Dall’analisi di tali documenti, si evidenzia che per “medicina di iniziativa” si intende un modello assistenziale orientato alla “promozione attiva” della salute dell’individuo, specie se affetto da malattie croniche o disabilità, e alla responsabilizzazione delle persone nel proprio percorso di cura (fonte Ministero della salute http://www.salute.gov.it/portale/temi/p2_6.jsp?id= 496&area=Cure%20 primarie&menu=cure, cfr., tra i molti richiami, Ministero della salute, Assemblea generale del Consiglio Superiore di Sanità, “Telemedicina- linee guida nazionali”, 10 luglio 2012, cfr. par. 2.3.2, Decreto 02 aprile 2015 , n. 70 -Regolamento recante definizione degli standard qualitativi, strutturali, tecnologici e quantitativi relativi all'assistenza ospedaliera, Accordo tra il Governo, le Regioni e le Province autonome di Trento e Bolzano sulle linee progettuali per l’utilizzo da parte delle Regioni delle risorse vincolate ai sensi dell’articolo 1, commi 34 e 34 bis, della legge 23 dicembre 1996, n. 662 per la realizzazione degli obiettivi di carattere prioritario e di rilievo nazionale per l’anno 2014);

- come evidenziato nel verbale delle operazioni compiute, sulla base di un’iniziativa promossa dall’Azienda, i MMG hanno selezionato, tra i loro assistiti, quelli affetti dalle determinate patologie croniche individuate a livello regionale (es. Diabete, scompenso cardiaco) (c.d. Fase di arruolamento) e hanno proposto loro dei piani di assistenza individuale (PAI), caratterizzati dall’offerta di un calendario di prestazioni personalizzato, in funzione delle patologie sofferte. Inizialmente i predetti medici hanno comunicato all’Azienda solo il numero complessivo di pazienti arruolati. A partire dal 2018, invece, i MMG, su indicazione dell’Azienda, hanno compilato un file Excel contenente l’anagrafica degli assistiti iscritti presso ciascun medico, evidenziando, per i soli assistiti arruolati, la presenza di una o più delle condizioni morbose per le quali si intendeva offrire agli stessi un PAI (dati presenti nella tabella: nome, cognome, data di nascita e codice fiscale dell’assistito);

- l’adozione di tale procedura ha determinato la raccolta e l’elaborazione di dati sanitari, al fine di realizzare, con riferimento a specifiche patologie, un profilo sanitario di rischio dell’interessato e ha, quindi, configurato da parte del MMG un trattamento autonomo rispetto a quello principale finalizzato alla cura dell’assistito basato, all’epoca dei fatti, sul consenso informato ) e, dal 2018, da parte dell’Azienda, un trattamento di dati personali sulla salute dei pazienti, basato sul consenso dell’interessato acquisito attraverso il modello denominato “Regolamento europeo per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (n. 2016/679 RGPD) - Informazioni ai sensi degli artt. 13 e 14 del Regolamento” (in atti), realizzato dall’Azienda, in qualità di titolare del trattamento, e fornito ai MMG affinché fosse reso al paziente all’atto dell’arruolamento;

- alla luce della natura dei dati trattati e della numerosità dei soggetti interessati, il trattamento sopra descritto, effettuato dall’Azienda dal 2018, rientra nei casi in cui il titolare non può prescindere da una valutazione di impatto sulla protezione dei dati, ai sensi di quanto previsto dal RGPD e dei criteri individuati dal Gruppo art. 29 nelle Linee-guida concernenti “La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679” (n. 248 adottate in forma emendata il 4.10.2017; sul punto vd. anche il software - gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) che offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA). Al riguardo, si è preso atto che la predetta valutazione non era stata effettuata in considerazione del fatto che il progetto era stato avviato antecedentemente alla data di piena applicazione del Regolamento europeo;

- il trattamento oggetto dell’istruttoria, non essendo strettamente necessario alle finalità di cura perseguite dai diversi titolari coinvolti, è stato correttamente effettuato previa acquisizione del consenso informato dell’interessato (artt. 9, par. 2 lette. a) e h), 13 e 14 del Regolamento). Il modello di consenso informato, acquisito nell’ambito dell’accertamento ispettivo e relativo alle attività di trattamento poste in essere dall’Azienda con riferimento alla sanità di iniziativa, risultava però privo di alcuni degli elementi informativi richiesti dai predetti artt. 13 e 14 del Regolamento, quali: il periodo di conservazione dei dati personali, i diritti riconosciuti dal Regolamento agli interessati, il diritto di proporre reclamo all’Autorità di controllo e i dati di contatto dei titolari del trattamento e del responsabile della protezione dei dati. Il suddetto modello di informativa non forniva, inoltre, chiare indicazioni in merito al trattamento effettuato dall’Agenzia regionale di sanità “per finalità di monitoraggio e di valutazione della qualità dell’assistenza”, con particolare riferimento alle indicazioni relative alla base giuridica del trattamento;

- all’atto dell’accertamento ispettivo, l’Azienda non aveva ancora adottato un registro delle attività di trattamento effettuate dalla stessa (ex art. 30 del RGPD), che è stato formalizzato solo successivamente in data 30 novembre 2018;

- con specifico riferimento alla procedura di invio dei dati nominativi dei pazienti arruolati da parte dei MMG, adottata a partire dal 2018, l’Azienda avrebbe dovuto mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, che possono comprendere, tra le altre, la pseudonimizzazione, la cifratura dei dati personali e misure in grado di assicurare, su base permanente, la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Le modalità di trattamento rilevate nel corso dell’accertamento ispettivo (salvataggio da parte dei MMG della tabella Excel su un supporto rimovibile -pen drive- di loro proprietà, consegna materiale del supporto al medico di distretto, salvataggio del file Excel sul pc del medico di distretto e invio dello stesso -in allegato ad una e-mail- al medico di distretto referente per area provinciale, successivo invio da parte di quest’ultimo dei file ricevuti da tutti i medici di distretto ad ESTAR, allegandoli -in formato zip con password per l’apertura- a un messaggio di posta elettronica) non rispettano il principio di integrità e riservatezza e non garantiscono la sicurezza del trattamento (artt. 5, par. 2, lett. f) e 32 del Regolamento);

- la designazione a responsabile del trattamento della società ESTAR, esibita all’atto dell’accertamento ispettivo (Prot. 0142457 del 03/10/2016) e relativa a tutte le attività di trattamento svolte dal predetto Ente per conto dell’Azienda sanitaria, è risultata inidonea rispetto a quanto previsto dall’art. 28 del Regolamento in quanto non indicava, in modo analitico, gli specifici compiti attribuiti e non forniva istruzioni puntuali in relazione ai molteplici trattamenti effettuati dall’Ente, ivi compresi quelli relativi alla medicina di iniziativa.

Nel richiamato atto del 12 marzo 2019, l’Ufficio ha, quindi, ritenuto che l’Azienda abbia effettuato un trattamento di dati personali degli interessati che hanno aderito al modello di “sanità di iniziativa” in violazione:

- del diritto degli interessati di ricevere -al momento della raccolta dei dati- tutte le informazioni di cui agli artt. 13 e 14 del Regolamento;

- degli obblighi del titolare, in ordine alla valutazione d’impatto sulla protezione dei dati personali ai sensi dell’art. 35 del Regolamento;

- degli obblighi del titolare, in ordine al rispetto dei principi di base del trattamento di cui all’art. 5, par. f) del Regolamento e della sicurezza del trattamento di cui all’art. 32 del Regolamento;

e più in generale, con riferimento al complesso dei trattamenti effettuati dall’Azienda, in violazione:

- dell’obbligo di tenuta del registro delle attività di trattamento di cui all’art. 30 del Regolamento;

- degli obblighi del titolare in ordine ad una corretta designazione di ESTAR a responsabile del trattamento ai sensi dell’art. 28 del Regolamento individuando puntualmente i compiti e le istruzioni con riferimento alle molteplici attività di trattamento svolte dall’Ente per conto dell’Azienda.

Con nota del 22 maggio 2019, l’Azienda ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

a) “nei mesi successivi a luglio 2018, non vi sono state ulteriori trasmissioni da parte dei MMG a questa Azienda di elenchi con dati nominativi dei pazienti arruolati nel 2018 (con l'eccezione soltanto dell'area territoriale di Siena, in cui alcuni dati sono stati trasmessi il 4 settembre, a causa dell'assenza del medico distrettuale di riferimento) e che a tutt'oggi non è stato ancora dato avvio alla nuova procedura di raccolta dati per il 2019”;

b) è stato previsto che “per il 2019, i MMG comunicheranno i dati in forma aggregata ed anonima, indicando solo il numero complessivo dei pazienti arruolati in relazione alle diverse cronicità individuate, senza i loro nominativi o comunque altri dati personali”;

c) è stato deciso di “avviare le attività per l'adozione, anche presso ESTAR, di apposite misure organizzative, tecniche e di sicurezza (…) dirette a limitare qualsiasi forma di utilizzo o trattamento dei dati personali relativi ai pazienti arruolati di cui agli elenchi acquisiti nel corso del 2018”;

d) di voler “avviare le attività necessarie alla cancellazione delle copie dei predetti dati personali custoditi presso i medici distrettuali di questa Azienda”;

e) con specifico riferimento alle informazioni da rendere all’interessato, “in esito all'accertamento ispettivo (…) (sono stati predisposti) i nuovi moduli di informativa e consenso relativi al trattamento dei dati personali dei pazienti che intendano confermare o effettuare l'adesione al modello assistenziale della Sanità di iniziativa per l'anno 2019 (…) e verranno a breve resi disponibili ai medici di MMG con la comunicazione relativa alle istruzioni operative che saranno impartite da questa Azienda per lo svolgimento delle attività della Sanità di iniziativa per il 2019. In tali istruzioni verrà, altresì, previsto che i medici partecipanti dovranno comunicare all’Azienda solo i dati aggregati relativi al numero complessivo dei pazienti arruolati per ciascuno dei percorsi individuati”. “In tale periodo di passaggio dal vecchio al nuovo regime, come noto, erano ancora vigenti anche le precedenti disposizioni del d.lgs. n. 196/2003 in tema di informativa, nonché di consenso ed altri presupposti di liceità del trattamento, sia generali che specifiche con riguardo all'ambito sanitario (…), per cui appare ragionevole ritenere che, considerato anche il quadro di incertezza a livello  normativo, i moduli di informativa e consenso predisposti nei primi mesi del 2018 potessero risultare ancora non pienamente allineati alle nuove disposizioni del Regolamento”;

f) con specifico riferimento alla tenuta del registro delle attività di trattamento, ”al momento dell'accertamento ispettivo del 27 novembre 2018 (…) questa Azienda era in possesso di una versione ancora in lavorazione del registro dei trattamenti, riguardante i trattamenti comuni alle aziende territoriali ed ospedaliere, frutto del lavoro svolto nell'ambito del "Tavolo privacy Regione/Enti ed aziende del servizio sanitario regionale", e aveva poi completato e formalmente adottato la versione definitiva di tale registro, con l'integrazione degli ulteriori trattamenti di pertinenza dell'Azienda, il successivo 30 novembre”;

g) con specifico riferimento alla designazione di ESTAR a responsabile del trattamento, l’“Azienda aveva comunque attribuito a ESTAR la designazione e gli obblighi di responsabile del trattamento ai sensi del previgente art. 29 del Codice privacy, secondo lo schema predisposto dalla Regione Toscana, che già conteneva diversi elementi corrispondenti, in sostanza, a quelli previsti dall'art. 28 del Regolamento” e “il 13 novembre 2018 (prima cioè dell'accertamento ispettivo), questa Azienda aveva già deliberato di procedere alla sottoscrizione del nuovo schema che è stata poi formalizzata a fine anno (comunque antecedentemente alla notifica della presunta violazione)”;

h) con specifico riferimento alla redazione di una valutazione di impatto, l’”Azienda non ha ritenuto all'epoca di procedere ad una valutazione d'impatto, in quanto l'attività di trattamento dei dati personali in esame era stata comunque configurata ed iniziata prima dell'applicazione del Regolamento”. L’“Azienda aveva indicato l'intenzione di procedere invece ad una valutazione di impatto per quanto riguarda i possibili sviluppi tecnologici della procedura di invio dei dati in questione tramite una piattaforma gestita tecnicamente da ESTAR, anche alla luce del provvedimento pubblicato in quel periodo da codesta Autorità riguardante l'elenco delle tipologie dei trattamenti soggetti al requisito della valutazione d'impatto ai sensi dell'art. 35, par. 4, del Regolamento”;

i) con specifico riferimento agli obblighi del titolare in ordine ai criteri di sicurezza, i ”rilievi formulati in ordine alla procedura seguita nel 2018 siano attualmente da ritenersi superati alla luce (…) (della) decisione di questa Azienda di prevedere per il 2019 una comunicazione da parte dei MMG solo di dati aggregati ed anonimi riferiti al numero complessivo dei pazienti arruolati per i percorsi indicati e di adottare alcune, specifiche  misure volte a rendere inutilizzabili i dati precedentemente raccolti” e che “non risultano inoltre essersi verificate perdite o furti o comunque incidenti di sicurezza conseguenti all'operatività sopra descritta la quale, nel circoscritto lasso di tempo in cui è  stata posta in essere, pur potendo sicuramente essere perfezionata al fine di innalzare i  livelli di sicurezza “;

In data 3 febbraio 2020, l’Azienda ha rinunciato all’audizione e ha integrato la documentazione relativa al trattamento in esame, rappresentando le ulteriori attività poste in essere nell’ambito della c.d. “sanità di iniziativa”, evidenziando, in particolare, che:

a) è stato previsto che “ogni MMG, quale titolare del trattamento, al momento del primo contatto con il paziente per la conferma dell'adesione o per un nuovo arruolamento al modello assistenziale "Sanità di iniziativa" (quindi, sia per i pazienti già arruolati nel 2018, sia per quelli arruolati nel 2019), rilasci l'informativa all'interessato e ne acquisisca il consenso sulla base dei nuovi moduli predisposti dall'Azienda”;

b) si è stabilito che “le comunicazioni da parte dei MMG aderenti alla Sanità di iniziativa nei confronti dell'Azienda abbiano a oggetto solo il numero complessivo dei pazienti arruolati in relazione alle diverse cronicità individuate, senza i loro nominativi o comunque altri dati personali”;

c) “per quanto concerne i dati nominativi dei pazienti arruolati di cui agli elenchi trasmessi dai MMG nel corso del 2018 e custoditi presso i medici distrettuali dipendenti dell'Azienda, questa Azienda ha comunque acquisito da questi ultimi anche una formale attestazione per iscritto dell'avvenuta cancellazione di ogni copia degli stessi dati, a conferma di quanto indicato al punto 2, secondo capoverso, terzo alinea, delle memorie difensive. A tale proposito, si evidenzia che le attestazioni pervenute sono conservate agli atti di questa Azienda e che possono essere messe a disposizione di codesto Ufficio, ove ritenuto necessario”;

d) “la Regione Toscana, in considerazione della rilevanza del modello assistenziale denominato "Sanità di iniziativa", ha attivato l'iter istituzionale per la integrazione nella normativa regionale di una compiuta disciplina di questa modalità assistenziale innovativa”.

2. Esito dell’attività istruttoria.

L’accertamento effettuato dall’Ufficio e la successiva attività istruttoria hanno riguardato il trattamento dei dati personali effettuato dall’Azienda USL Toscana Sud Est nell’ambito del c.d. “Modello assistenziale “Sanità di iniziativa””.

Tale modello, sebbene non sia regolamentato da alcun atto normativo a livello nazionale, costituisce, sin dal 2009, un modello organizzativo-assistenziale di riferimento in ambito regionale, che ha avuto -nel tempo- diverse forme e denominazioni applicative (es. chronic care model). Tali modelli sono stati realizzati al fine di favorire “un approccio metodologico alla presa in carico e al processo di cura del paziente” che si traduce in un “richiamo attivo e periodico del paziente per sottoporlo ad attività educative e clinico assistenziali, volte alla correzione dei stili di vita, all’empowermwent, alla diagnosi precoce” (dichiarazioni presenti nella documentazione in atti). Il modello assistenziale descritto nei documenti in atti prevede il coinvolgimento di diversi titolari del trattamento, che intervengono in momenti differenti e per il raggiungimento di specifiche finalità. Ruolo centrale è attribuito al MMG chiamato a realizzare la fase dell’arruolamento dei pazienti e quella del monitoraggio sul singolo assistito circa l’aderenza al modello assistenziale proposto.

Tale modello organizzativo assistenziale è stato promosso, a livello regionale, con alcune delibere della Regione Toscana (cfr. DGRT nn. 650/2016 e 930/2017), ma ciascuna azienda sanitaria lo ha avviato operativamente, di propria iniziativa nell’ambito territoriale di competenza, sin dal 2017, coordinando le attività dei MMG e fornendo loro indicazioni organizzative sulle procedure e sulle tempistiche del modello assistenziale proposto.

In tale contesto, l’Azienda ha realizzato anche i modelli contenenti le informazioni da rendere agli interessati, per i trattamenti di dati personali effettuati dalla stessa nell’ambito della sanita di iniziativa, prevedendo che i MMG li sottoponessero ai pazienti da arruolare.

L’attività istruttoria svolta dall’Ufficio ha riguardato le attività poste in essere dall’Azienda nell’ambito dei trattamenti effettuati attraverso la realizzazione del modello assistenziale sopra descritto. Da quanto emerso nell’attività istruttoria, in una prima fase, l’Azienda sanitaria, nel realizzare le predette attività di coordinamento, non ha trattato dati personali dei pazienti che hanno aderito al predetto modello della sanità di iniziativa. Dall’inizio del 2018 e sino a settembre dello stesso anno, per il mutare delle modalità di svolgimento delle attività connesse all’attuazione di tale modello assistenziale, l’Azienda, sulla base del consenso dell’interessato, ha invece trattato dati personali dei pazienti arruolati in qualità di titolare del trattamento per le finalità di monitoraggio, valutazione e qualità dell’assistenza erogata realizzate attraverso il “modello assistenziale “sanità di iniziativa”” (cfr. Modello di informativa in atti).

A seguito dell’attività istruttoria effettuata dall’Ufficio e delle criticità emerse, l’Azienda ha dichiarato che, per il raggiungimento delle predette finalità, utilizzerà in futuro esclusivamente informazioni aggregate e anonime dei pazienti che gli verranno fornite dai MMG.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. all’atto dell’accertamento ispettivo, l’Azienda non aveva ancora adottato, per tutti i trattamenti posti in essere dalla stessa, il registro delle attività di trattamento previsto dall’art. 30 del Regolamento, che è stato adottato solo in data 30 novembre 2018. La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio. L’Azienda era tenuta all’adozione del predetto registro alla data della piena applicazione del Regolamento (25 maggio 2018), in quanto la deroga alla tenuta del registro prevista dal Regolamento non opera in presenza anche di uno solo degli elementi indicati dall’art. 30, par. 5 (trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati), presenti, senza dubbio, nella fattispecie in esame. Occorre al riguardo avere anche presente che le norme del Regolamento erano in vigore già dal 25 maggio 2016 e che i due anni intercorsi prima della loro piena applicazione dovevano servire ai titolari proprio per adeguare i trattamenti alle disposizioni del Regolamento;

2. la designazione di ESTAR quale responsabile del trattamento, effettuata con atto del 3 ottobre 2016 con riferimento alla complessità dei trattamenti effettati da tale Ente per conto dell’Azienda, è risultata inidonea rispetto a quanto previsto dall’art. 28 del Regolamento ma anche a quanto indicato nell’art. 29 del Codice, vigente all’epoca dell’adozione della nomina. L’atto, infatti, non indica in modo analitico i compiti attribuiti ad ESTAR in relazione ai molteplici trattamenti effettuati dall’Ente, ivi compresi quelli relativi alla medicina di iniziativa (trattamento dei dati personali dei pazienti presenti nei file Excel compilati dai medici distrettuali referenti per aree provinciali, consolidamento di tali informazioni, inserimento delle stesse in un data warehouse aziendale e realizzazione di un data mart relativo allo stato di avanzamento del processo di arruolamento per patologia e per medico, che consentiva alla Azienda di effettuare il calcolo di prevalenza citato) e, di conseguenza, non comprende specifiche istruzioni, in relazione alla molteplicità dei trattamenti effettuati dall’ESTAR per conto dell’Azienda sanitaria (art. 29 del Codice, vigente all’atto della designazione e art. 28 del Regolamento, vigente all’atto dell’accertamento ispettivo). L’Azienda ha provveduto a rinnovare la designazione di ESTAR a responsabile del trattamento con atto del 27 dicembre 2018;

3. con riferimento alla procedura, adottata a partire dal 2018, per l’invio dei dati nominativi dei pazienti arruolati da parte dei MMG all’Azienda, la stessa non ha messo in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. Le modalità sopra descritte, accertate nel corso dell’ispezione, (salvataggio da parte dei MMG della tabella Excel su un supporto rimovibile (pen drive) di loro proprietà, consegna del supporto al medico di distretto, salvataggio del file sul pc del medico di distretto e invio dello stesso -in allegato ad una e-mail- al medico di distretto referente per area provinciale, successivo invio da parte di quest’ultimo ad ESTAR dei file ricevuti da tutti i medici di distretto, allegandoli -in formato zip con password per l'apertura- ad un messaggio di posta elettronica) non rispondono, infatti, ai principi e criteri di sicurezza descritti dagli artt. 5, par. 2, lett. f) e 32 del Regolamento. Tali modalità di trattamento mettono in luce l’assenza di una valutazione dei rischi del trattamento che si sarebbe dovuta effettuare nell’ambito della valutazione di impatto che invece non risulta essere stata effettuata.;

4. il modello di informativa denominato “Regolamento europeo per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (n. 2016/679 RGPD) - Informazioni ai sensi degli artt. 13 e 14 del Regolamento” realizzato dall’Azienda, in qualità di titolare del trattamento per le finalità di monitoraggio, valutazione e qualità dell’assistenza erogata realizzate attraverso il “Modello assistenziale “sanità di iniziativa””, e fornito ai MMG affinché fosse reso ai pazienti all’atto dell’arruolamento è privo di alcuni degli elementi essenziali previsti dalla disciplina vigente al momento dell’arruolamento, quali: il periodo di conservazione dei dati personali, i diritti riconosciuti dal Regolamento agli interessati, il diritto di proporre reclamo all’Autorità di controllo e i dati di contatto dei titolari del trattamento e del responsabile della protezione dei dati. Il suddetto modello di informativa non forniva, inoltre, chiare indicazioni in merito al trattamento effettuato dall’Agenzia regionale di sanità “per finalità di monitoraggio e di valutazione della qualità dell’assistenza”, con specifico riferimento all’indicazione della base giuridica del trattamento. Sebbene tali modelli siano stati predisposti dall’Azienda in un momento antecedente alla data di pena applicazione del Regolamento, si riferiscono a una raccolta di dati avvenuta nel periodo di applicazione della disciplina europea, che del resto è richiamata proprio nell’intestazione del modello. Si evidenzia inoltre che tali modelli risultano, comunque, privi anche di alcuni degli elementi essenziali che erano già previsti dalla disciplina previgente (art. 13 del Codice) quali: i diritti riconosciuti agli interessati e precise indicazioni in merito al ruolo dell’Agenzia regionale di sanità. Si precisa, poi, che il predetto modello non effettuava alcun rinvio ad altre fonti (ad es. siti Internet dei diversi titolari coinvolti) per l’acquisizione delle informazioni mancanti;

5. alla luce della natura dei dati trattati e della numerosità dei soggetti interessati, il trattamento effettuato dall’Azienda nel 2018, con riferimento alla sanità di iniziativa, rientra nei casi per i quali il titolare non può prescindere da una valutazione di impatto sulla protezione dei dati. In merito è stato tuttavia accertato che l’Azienda non aveva provveduto a effettuare la prevista valutazione di impatto ai sensi dell’art. 35 del Regolamento. Al riguardo, si evidenzia che, sebbene i trattamenti abbiano avuto inizio prima della piena applicazione del Regolamento, la valutazione di impatto si rendeva comunque necessaria in quanto gli stessi sono stati effettuati anche nel periodo di piena applicazione del Regolamento. Come sopra rappresentato, alcune evidenti carenze relative all’adozione di adeguate misure di sicurezza avrebbero potuto essere evitate se il rischio del trattamento fosse stato adeguatamente valutato. Al riguardo, si prende atto che in futuro la trasmissione dei dati all’Azienda da parte dei MMG avrà ad oggetto esclusivamente informazioni anonime.

Con specifico riferimento ai trattamenti di dati personali effettuati nell’ambito dei modelli c.d. di medicina di iniziativa, si rappresenta, infine, che recentemente il Garante in un parere reso al Consiglio di Stato ha rappresentato che tali modelli sono spesso legati ad una profilazione degli assistiti (c.d. attività di “stratificazione”) che necessita di un’adeguata base giuridica che abbia le caratteristiche richieste dal Regolamento europeo (art. 6, par. 3) (Parere al Consiglio di Stato sulle nuove modalità di ripartizione del fondo sanitario tra le regioni proposte dal Ministero della salute e basate sulla stratificazione della popolazione - 5 marzo 2020, doc web n. 9304455).

Da ultimo, il Garante ha reso il proprio parere anche su un disegno di legge della Provincia autonoma di Trento che conteneva anche disposizioni in materia di medicina di iniziativa (parere dell’8 maggio 2020, doc web n. 9344635). Al riguardo, l’Autorità ha evidenziato la necessità di procedere ad una revisione del dettato normativo, al fine di tenere conto dei principi di liceità, correttezza, limitazione della finalità, minimizzazione e sicurezza del Regolamento, in quanto si accomunano, senza le necessarie distinzioni, trattamenti effettuati per scopi statistici, finalità amministrative e di cura. Il Garante ha poi ricordato gli specifici vincoli, in termini di protezione dei dati e trasparenza, che devono essere rispettati nel caso in cui la medicina di iniziativa sia basata sulla profilazione degli assistiti attraverso l’uso di un algoritmo, rinviando a quanto recentemente rappresentato, al riguardo, dal Consiglio di Stato (Cons. St., sez. VI, 13 dicembre 2019, n. 8472). In tale contesto è stato evidenziato che la raccolta e l’elaborazione di dati sanitari, al fine di realizzare, con riferimento a specifiche patologie, un profilo sanitario di rischio dell’interessato configura un trattamento autonomo rispetto a quello principale finalizzato alla cura dell’assistito, che deve essere pertanto effettuato sulla base del consenso dell’interessato, in quanto trattamento automatizzato non strettamente necessario per finalità di cura dell’interessato (artt. 9, par. 2, lett. h) e 22 del Regolamento). Tali considerazioni sono state ribadite anche nel parere reso dall’Autorità su uno schema di regolamento relativo alle disposizioni attuative della predetta legge provinciale per la medicina di iniziativa nel servizio sanitario provinciale trentino (parere del 1° ottobre 2020).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale Toscana Sud Est, nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. f), 13, 14, 28, 30, 32, 35 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato di aver coordinato la modifica dei modelli contenenti le informazioni da rendere agli interessati ai sensi degli artt. 13 e 14 Regolamento, di aver rinnovato la designazione di ESTAR a responsabile dei trattamenti effettuati dall’Ente per conto dell’Azienda, che in futuro- per il modello della sanità di iniziativa- saranno trasmesse all’Azienda da parte dei MMG solo informazioni anonime e che è stato adottato il registro dei trattamenti effettuati dall’Azienda non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. f), 13, 14, 28, 30, 32, 35 del Regolamento, causata dalla condotta posta in essere dall’Azienda Unità Sanitaria Locale Toscana Sud Est, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi, rispettivamente, dell’art. 83, par.5, lett. b) e par. 4, lett. a) del Regolamento.

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha ricevuto una sola segnalazione di un MMG in merito al trattamento dei dati effettuato dall’Azienda sanitaria con riferimento al modello della sanità di iniziativa e non sono stati denunciati furti, perdite di dati o trattamenti illeciti da parte di dei diversi soggetti coinvolti nel trattamento dei dati (art. 83, par. 2, lett. a) e h) del Regolamento);

- il trattamento dei dati effettuato dall’Azienda, attraverso il modello della sanità di iniziativa, riguarda dati idonei a rilevare informazioni sulla salute di numerosi interessati, ovvero tutti gli assistiti della stessa Azienda (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- l’Azienda, anche in conseguenza ad una mancata valutazione del rischio, non aveva adottato adeguate misure di sicurezza in rapporto alle modalità di trattamento dei dati effettuati dai medici e non aveva adottato (all’epoca dell’accertamento ispettivo) né il registro delle attività di trattamento, adempimenti che sono espressione del principio di responsabilizzazione sancito dal Regolamento (art. 5, par. 2 del Regolamento);

- l’Azienda ha dimostrato un elevato grado di cooperazione, provvedendo a modificare il modello assistenziale di medicina di iniziativa, prevedendo, per il futuro, che siano trasmesse alla stessa solo informazioni anonime e facendosi parte attiva per la realizzazione di un nuovo modello relativo alle informazioni da rendere agli interessati (art. 83, par. 2, lett. c), d) e f) del Regolamento);

- risulta avviato l’iter istituzionale per l’integrazione nella normativa regionale di una compiuta disciplina del modello assistenziale della Sanità di iniziativa.

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento, nella misura di euro 100.000,00 (centomila) per la violazione degli artt. 13 e 28 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato poco prima della definitiva applicazione del Regolamento.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale Toscana Sud Est, per la violazione degli artt. 5, par. 2, lett. f), 13, 14, 28, 30, 32, 35 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Unità Sanitaria Locale Toscana Sud Est, con sede legale in Arezzo (AR), Via Curtatone, 54 - C.F./P. IVA 02236310518, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, di pagare la somma di euro 100.000,00 (centomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei